[CSP 동향③] 외산 CSP, 공공시장 진입 본격화
해외 CSP, CSAP 하 등급 인증 획득으로 공공 시장 본격 진입 민간 시장에서 약진하는 네이버클라우드, 소버린 AI로 시장 확산
[아이티데일리] 국내 클라우드 시장에서 국내 클라우드 서비스 제공사(CSP)와 외산 CSP의 경쟁이 심화되고 있다. 아마존웹서비스(AWS)와 마이크로소프트(MS) 등 외산 업체들이 장악하고 있는 민간 클라우드 시장에서 네이버클라우드 등 국내 업체들이 공격적으로 시장 공략에 나서고 있다. 특히 네이버클라우드는 구글 클라우드(Google Cloud)를 제치고 국내 민간 시장 점유율 3위를 기록했다.
반면 KT클라우드, NHN클라우드 등 국내 업체들이 시장을 주도하고 있는 공공 클라우드 시장에서는 AWS, MS, 구글 클라우드 3사가 ‘클라우드 서비스 보안인증(CSAP)’ 하 등급 인증을 획득하면서 시장 진입을 눈앞에 두고 있다.
글로벌 CSP들의 전략과 국내 CSP들의 대응, 그리고 새 정부 출범을 앞두고 어떤 제도를 보완해야 할지 국내 클라우드 시장을 진단해 봤다.
외국 기업 공공시장 진출…AWS 한 달 만에 수주 성공
그동안 국내 기업들이 주도해 온 공공 클라우드 시장에도 변화의 조짐이 감지되고 있다. 최근 외산 CSP들이 ‘클라우드 서비스 보안인증제(CSAP)’ 하 등급을 차례로 획득하며 공공시장 진입의 발판을 마련했기 때문이다. 외산 CSP 3사 중에서는 MS가 가장 먼저 CSAP 인증을 획득했다. MS는 지난해 12월 2일 한국인터넷진흥원(KISA)으로부터 CSAP 하 등급 인증을 획득했으며, 이어서 구글 클라우드는 지난 2월 3일, AWS는 4월 1일 인증을 획득했다.
특히 AWS는 CSAP 인증을 확득한 후 불과 한 달 만에 ‘AI 연구용 컴퓨팅 지원 프로젝트’ 사업의 우선협상대상자로 선정돼 국내 업체를 긴장하게 했다. 해당 사업은 과기정통부가 올해 처음 신설한 사업으로, 80억 원 규모다. 산‧학·연 연구진을 대상으로 AI 컴퓨팅 자원을 제공해 국가 AI 연구개발(R&D) 경쟁력 제고를 목표로 한다.
CSAP는 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 제23조의2에 근거, CSP 사업자가 제공하는 서비스에 대해 정보보호 기준의 준수 여부를 평가·인증하는 제도다. CSP 사업자는 공공 클라우드 사업에 참여하기 위해 해당 인증을 필수적으로 획득해야 한다.
CSAP는 2016년 도입됐으며, 기존에는 IaaS, PaaS. SaaS(표준/간편), DaaS 부문에 대한 보안 인증을 진행했다.
정부는 공공부문의 민간 클라우드 이용 활성화를 위해 지난 2023년 CSAP 내용을 개정했다. 공공부문 클라우드 보안인증체계를 시스템 중요도에 따라 상‧중‧하로 나눠 각각 다른 보안 규제를 하겠다는 게 골자다.
특히 ‘하’ 등급은 물리적 망 분리 이외에 논리적 망 분리까지 허용하는 것으로 보안 규제를 완화했다. 이는 외산 기업이 공공 시장에 진출할 수 있는 기반으로 작용했다.
그간 외산 CSP는 한국 공공 시장 진입을 위해 CSAP 규제완화를 꾸준히 요청해왔다. 한국재정정보원에 따르면 지난 2022년 5월 조 바이든 미국 대통령이 방한 후 주한미국상공회의소에서 과기정통부에 CSAP와 논리적 망 분리 허용에 관한 내용이 담긴 공문을 보냈다는 소식이 전해지기도 했다.
지난 4월에는 미국무역대표부(USTR)가 CSAP 제도를 ‘무역장벽’이라고 지적한 바 있다. USTR이 미 정부에 제출한 ‘국가별 무역 평가 보고서(NTE)’에 이 같은 내용이 포함된 것으로 나타났다. 외산 CSP에 CSAP 등급을 ‘중’까지 부여해야 한다는 입장이다.
반면, 국내 클라우드 업계에서는 CSAP 하 등급 인증 완화에 대해 “CSAP 도입 취지와 달리, CSAP 인증이 공공기관의 민간 클라우드 이용을 담보하지 못하고, 현재는 외산 CSP의 공공시장 진입 경로만 제공하고 있는 상황”이라고 비판의 목소리를 내고 있다.
클라우드 업계는 CSAP 하 등급 완화에 대해 우려와 기대가 공존하는 분위기다. 한 업계 관계자는 “공공 시장은 국내 기업에 있어 일종의 안전망 역할을 해야 한다”며 “무조건적인 지원을 바라는 것이 아니다. 정부는 국내 기업들이 경쟁력을 높일 수 있도록, 다양한 사업 경험을 쌓을 기회를 장려해야 한다”고 말했다.
또 다른 관계자는 “이미 공공 시장의 문이 열린 만큼, 이제는 오히려 이를 계기로 국내 기업들이 기술 경쟁력을 강화하고, 사업 기회를 넓히는 방향으로 나아갈 필요가 있다”며 “국내 기관들이 멀티 클라우드 전략을 검토할 경우, 외산 기업과 협업하는 방향도 고려해 볼 수 있다”고 말했다.
오히려 앞으로 AWS의 점유율을 국내 CSP가 조금씩 나눠 가지게 될 수도 있다는 추측도 나왔다. 업계 관계자는 “각 CSP들도 외산에 대응해 다양한 서비스 혜택과 기술을 개발하는 추세이며, 국내 사용자들은 한 기업을 선택하면 오래 유지하는 특성이 있기 때문에 초반에 AWS의 점유율을 나눠 가지기는 힘들어도 한 번 고객을 유입시키는 데 성공하다면 충성도 높은 기반을 마련할 수 있을 것”이라고 전망했다.
공공 SLA 가용률 다시 수정해야
이처럼 공공시장 경쟁이 본격화되는 가운데, 클라우드 업계에서는 제도적 보완도 함께 이뤄져야 한다는 목소리가 나오고 있다. 새 정부 출범을 앞두고 현재 가장 주목받고 있는 것은 ‘공공 정보시스템 서비스수준협약(SLA) 표준안’이다.
SLA는 기업이 공공기관에 공급하는 정보시스템의 적합한 서비스 수준에 대한 합의를 명시한 계약이다. 행정안전부는 1·2 등급 정보시스템 운영 및 유지관리 사업을 대상으로 SLA 체결을 의무화한다. 장애 조치 최대 허용시간, SLA 가용률 및 서비스 수준 미달·장시간 장애 등의 여부에 따라 위약금이 부과된다. 정부는 올해 사업에 시범 적용(위약금 부과 제외) 후 오는 2026년부터 의무 적용할 계획이다.
업계에서는 행안부가 제시한 공공 SLA 표준안의 가용률이 높다는 의견을 내놓았으며, 행안부는 이를 반영해 지난 3월 1차 수정안을 발표했다.
기존 전산장비 및 응용프로그램(AP)에서 요구하는 1등급 가용률은 기존 99.99%에서 99.97%로, 2등급은 99.97%에서 99.95%로 낮췄다. 그러나 업계에서는 수정된 가용률도 여전히 높은 수치라며 1등급 기준을 99.95% 정도로 조정할 것을 다시 요구하고 있어, 최종 수정안에 어떤 내용이 반영될지 업계의 관심이 집중되고 있다.